1、隨著移動互聯網的崛起和智能移動終端的廣泛使用，其基于智能移動終端應用程序進行隱私竊取、詐騙以及惡意攻擊等犯罪活動也日益猖獗。因此，針對智能移動終端應用程序的數據進行取證對于遏制不法行為具有重要的意義。本文主要研究智能移動終端應用程序數據取證問題，重點研究SQLite數據庫被刪除數據的恢復方法，在此基礎上設計實現了一個Android和iOS應用程序數據自動化取證系統(tǒng)。其主要工作如下:
　　(1)研究了智能移動終端應用程序的SQLit

2、e數據庫數據存儲方式，并重點研究其數據刪除原理，包括刪除數據的結構、存儲方式以及各種復雜的場景。研究了SQLite數據庫各種刪除數據的恢復方法。在此基礎上，提出了一種用于SQLite數據庫刪除數據恢復的相似類型匹配估算方法(Similary Type MatchingEstimation，STME)。
　　(2)針對現有SQLite數據庫刪除數據恢復方法在刪除數據塊出現的多個不連續(xù)數據單元的復雜場景下恢復能力不足情況，STME方法

3、對前人的方法進行了改進。在SQLite數據庫中刪除數據塊主要以自由塊和空閑頁兩種形式存在于數據庫，該方法可直接提取以自由塊形式存儲的被刪除數據中所含應用程序數據內容，對于以空閑頁形式存儲的被刪除數據可先通過暴力破解的方式恢復空閑頁上的數據信息，再進一步通過STME方法提取出應用程序數據內容。經測試表明，STME恢復方法可將數據恢復率提高到百分之八十以上，優(yōu)于現有方法。
　　(3)針對現有取證系統(tǒng)存在取證數據缺乏良好的組織，取證系統(tǒng)

4、自動化程度不夠等問題。本文在分析應用程序用戶痕跡的基礎上，將用戶數據以即時通訊類和非即時通訊類兩種組織方式進行取證;并通過提取用戶數據文件的結構特征進行匹配，實現用戶數據的自動化取證。
　　(4)設計并實現了智能移動終端應用程序數據自動化取證系統(tǒng)。本文開發(fā)的取證系統(tǒng)對Android和iOS兩種主流操作系統(tǒng)的應用程序數據進行取證，針對不同應用類型設計相應取證數據結構，可自動化解析以SQLite數據庫、XML、Plist格式存儲的原始